С 1 июля 2009 года в штатах Аляска и Южная Каролина вступит в силу новый закон, который обяжет организации, в случае нарушения системы безопасности, связанного с утерей персональной информации, уведомлять о происшествии потенциальных пострадавших. Теперь закон об уведомлении о нарушении безопасности действует в 44 штатах, а также в Округе Колумбия, Пуэрто Рико и на Виргинских Островах. Закон не распространяется на штаты Алабама, Кентуки, Миссисипи, Миссури, Нью Мексико и Южная Дакота. Штат Аляска.
Закон § 45.48.010 будет распространяться на утечки незашифрованных персональных данных как на бумаге, так и в электронном виде. Под персональной информацией понимается имя и фамилия (или инициалы), а также все или одна из категорий нижеперечисленных данных: номер социального страхования; номер водительских прав или номер государственного удостоверения личности; номер банковского счета, кредитной карты или номер дебетовой карты, вместе с любым защитным кодом, кодом доступа, персональным идентификационным номером или паролем доступа; пароли, персональные идентификационные номера или любые другие коды доступа к финансовым счетам.
Уведомление не требуется, если после соответствующего расследования и письменного уведомления генерального прокурора Аляски, юридическое лицо, допустившее нарушение, решает, что нет вероятности нанесения ущерба лицам, персональная информация которых была скомпрометирована в результате нарушения. Юридическое лицо также освобождается от обязанности уведомления в случае, если персональная информация была получена несанкционированно, но с благими намерениями, скажем, для найма работников, до тех пор, пока работодатель не использует информацию в незаконных целях или допустит ее утечку. Устав разрешает государственным учреждениям принять подзаконные акты в любой момент после даты вступления закона в силу.
Южная Каролина. § 39-1-90 в формулировке в точности повторяет вышеупомянутый параграф 45.48.010 закона штата Аляска. Николай Федотов, ведущий аналитик InfoWatch так комментирует принятие данных актов: «Хочется обратить внимание на то, что в США, в отличие от Старого Света, применяется принципиально иной подход к определению защищаемых персональных данных. В конвенции Совета Европы о защите персональных данных при автоматизированной обработке защищаемыми данными объявляется «любая информация о лице», на основании которой можно это лицо идентифицировать (это определение перекочевало и в российский закон).
То есть, защищать положено всё и везде. Потом из общего правила прописываются отдельные исключения. Американский подход состоит в том, что явно перечисляются данные, подлежащие защите (в данном случае речь о нарушениях защиты). Все прочие персональные данные можно обрабатывать как обычно. Список включает ровно ту информацию, которую злоумышленники уже научились использовать для извлечения дохода и причинения вреда. И не больше. Этот подход экономит ресурсы операторов персональных данных, не вынуждая их тратить деньги на защиту того, что злоумышленников не интересует. Также следует обратить внимание, что утечка или утрата зашифрованных данных инцидентом не считается».
Источник: newsdesk.pcmag.ru
Закон § 45.48.010 будет распространяться на утечки незашифрованных персональных данных как на бумаге, так и в электронном виде. Под персональной информацией понимается имя и фамилия (или инициалы), а также все или одна из категорий нижеперечисленных данных: номер социального страхования; номер водительских прав или номер государственного удостоверения личности; номер банковского счета, кредитной карты или номер дебетовой карты, вместе с любым защитным кодом, кодом доступа, персональным идентификационным номером или паролем доступа; пароли, персональные идентификационные номера или любые другие коды доступа к финансовым счетам.
Уведомление не требуется, если после соответствующего расследования и письменного уведомления генерального прокурора Аляски, юридическое лицо, допустившее нарушение, решает, что нет вероятности нанесения ущерба лицам, персональная информация которых была скомпрометирована в результате нарушения. Юридическое лицо также освобождается от обязанности уведомления в случае, если персональная информация была получена несанкционированно, но с благими намерениями, скажем, для найма работников, до тех пор, пока работодатель не использует информацию в незаконных целях или допустит ее утечку. Устав разрешает государственным учреждениям принять подзаконные акты в любой момент после даты вступления закона в силу.
Южная Каролина. § 39-1-90 в формулировке в точности повторяет вышеупомянутый параграф 45.48.010 закона штата Аляска. Николай Федотов, ведущий аналитик InfoWatch так комментирует принятие данных актов: «Хочется обратить внимание на то, что в США, в отличие от Старого Света, применяется принципиально иной подход к определению защищаемых персональных данных. В конвенции Совета Европы о защите персональных данных при автоматизированной обработке защищаемыми данными объявляется «любая информация о лице», на основании которой можно это лицо идентифицировать (это определение перекочевало и в российский закон).
То есть, защищать положено всё и везде. Потом из общего правила прописываются отдельные исключения. Американский подход состоит в том, что явно перечисляются данные, подлежащие защите (в данном случае речь о нарушениях защиты). Все прочие персональные данные можно обрабатывать как обычно. Список включает ровно ту информацию, которую злоумышленники уже научились использовать для извлечения дохода и причинения вреда. И не больше. Этот подход экономит ресурсы операторов персональных данных, не вынуждая их тратить деньги на защиту того, что злоумышленников не интересует. Также следует обратить внимание, что утечка или утрата зашифрованных данных инцидентом не считается».
Источник: newsdesk.pcmag.ru
Комментариев нет:
Отправить комментарий